En 2016, la necesidad de identidades digitales de confianza será primordial para la seguridad general de la Internet global. A medida que las empresas continúan preparándose contra los adversarios cibernéticos y buscan asegurar la Internet de las Cosas (IoT), la Infraestructura de Clave Pública (PKI) está resurgiendo como una tecnología económica, fiable y probada que ofrece una solución segura y de alto rendimiento.
Predicción 1: PKI crece exponencialmente y se perfila como la norma de facto para la identificación digital, la autenticación y el cifrado.
¿Por qué creemos esto? Mientras que SSL/TLS sigue siendo ampliamente utilizado para la navegación web segura, CSS ha visto el uso generalizado de PKI "de cosecha propia" para aplicaciones comerciales para autenticar datos, dispositivos, aplicaciones y usuarios. Con las empresas que ofrecen acceso a productos, servicios y herramientas basados en la nube, la necesidad de SSL/TLS sigue siendo fuerte. El Estudio de Tendencias Globales de PKI 2015 de Thales Ponemon indica que las mayores tendencias que impulsaron el uso de PKI en 2015 fueron los servicios basados en la nube, la gestión de dispositivos móviles y las aplicaciones móviles. A pesar de las vulnerabilidades identificadas en los dos últimos años, como Heartbleed, FREAK, POODLE y Apple man-in-the-middle, la PKI sigue siendo la columna vertebral de confianza para la emisión de claves criptográficas sólidas para los certificados SSL/TLS .
¿Qué significa esto para las empresas? Todas las organizaciones deben ser proactivas en el uso, emisión, supervisión y elaboración de informes de los entornosSSL /TLS/PKI. CSS Research identificó que casi el 12% de todos los certificados publicados en Internet pertenecen a dispositivos y no a sitios web. Una PKI correctamente implementada y gestionada contiene un marco altamente seguro y rentable para emitir certificados de confianza para una variedad de casos de uso. Por estas razones, las organizaciones están estableciendo rutinariamente su propia PKI interna y muchas están gestionando millones o más certificados para ofrecer autenticación de identidad digital, cifrado y firma para servicios en la nube, dispositivos móviles y aplicaciones móviles.
Predicción 2: PKI se convertirá en la mejor práctica para la identificación, autenticación y comunicaciones seguras de los dispositivos IoT .
¿Por qué creemos esto? Las empresas siguen lanzando innovaciones en IoT para personalizar los productos y servicios de los clientes en un intento de hacer las cosas más rápidas, mejores y más accesibles. Estas innovaciones ayudan a las empresas a aumentar los ingresos, mejorar la eficiencia operativa, cumplir los requisitos normativos, mejorar la seguridad y proteger los activos. El estado del mercado del Internet de las cosas 2015 de Verizon prevé que el mercado de IoT crezca de 1.200 millones de conexiones en 2014 a 5.400 millones en 2020. Si no se identifican, autentican y protegen adecuadamente, los dispositivos IoT pueden abrir y magnificar múltiples amenazas para las empresas. Las amenazas cibernéticas, las interrupciones y las violaciones de datos están en camino de tener un impacto significativo en los ingresos y la reputación de las empresas en crecimiento en todo el mundo.
¿Qué significa esto para las empresas? Laautenticación segura para dispositivos IoT debe ser escalable y rentable. Los métodos tradicionales de autenticación digital pueden no ser tan seguros, rentables o eficientes para el tipo y volumen de dispositivos, datos, personas y aplicaciones que necesitan ser autenticados, cifrados o firmados. Además, la compra de certificados de terceros contribuye enormemente al gasto en productos y servicios. "Al fin y al cabo, cada vez es más necesario vincular la identidad y las claves, y los certificados digitales siguen siendo una forma muy escalable de hacerlo", afirma Ted Shorter, Director Técnico de CSS. Aunque pueda parecer relativamente fácil crear una CA, los recursos y conocimientos necesarios para planificar, implantar y gestionar un entorno PKI de alta confianza son escasos y caros. Además, las empresas que emiten un gran número de certificados están reconociendo la necesidad de soluciones para supervisar y gestionar los certificados con el fin de mitigar el riesgo de caducidades y usos malintencionados.
Predicción 3: Las infracciones de las autoridades de certificación (CA), los fallos de implementación y los ataques de tipo "hombre en el medio" (MiTM) empeorarán antes de mejorar.
¿Por qué creemos esto? A medida que aumenta el uso de certificados digitales, también aumentan las oportunidades de que se produzcan intentos malintencionados de acceder a ellos y aplicarlos para violar datos y sistemas. Existen varios ejemplos destacados en los que piratas informáticos accedieron a una CA para emitir certificados fraudulentos. El malware puede utilizarse para comprometer certificados, como ocurrió con Superfish, donde su adware instaló un certificado raíz autogenerado en el almacén de certificados de Windows y renunció a los certificados SSL presentados por sitios HTTPS con su propio certificado, dando potencialmente a los hackers acceso a datos y actividades sensibles. Además, siguen apareciendo ejemplos nuevos y creativos de ataques MiTM aplicados a navegadores, la nube, aplicaciones, dispositivos móviles, WiFi y IoT . Con la llegada de herramientas baratas y fácilmente disponibles, incluso los ciberdelincuentes menos sofisticados han sido capaces de llevar a cabo este tipo de ataques.
¿Qué significa esto para las empresas? Se trata de un entorno sofisticado que requiere un enfoque proactivo. A medida que aumenta la posibilidad de que se produzcan infracciones que pongan en peligro a los consumidores y a las organizaciones, también surgen mayores requisitos normativos y de cumplimiento, lo que lleva a las empresas a reconsiderar la importancia de la seguridad en el diseño de los productos. Las organizaciones se están volviendo hipervigilantes en la implantación, gestión y supervisión de políticas, procesos y tecnologías PKI para proteger activos, clientes e ingresos críticos. Establecer y mantener políticas sólidas en torno al entorno PKI es fundamental, especialmente en relación con la seguridad de las claves PKI. Las organizaciones que tengan un control directo sobre sus certificados estarán mejor preparadas para identificar y responder a las vulnerabilidades relacionadas con los certificados. Las empresas que mantienen su propio inventario, supervisión y gestión centralizados de todos los certificados tendrán una exposición y un riesgo significativamente menores para sus operaciones. Por último, los protocolos PKI establecidos y respetados, los dispositivos de gestión de claves Hardware Security Modules (HSM), la gestión de certificados software y los servicios PKI gestionados pueden ayudar a evitar problemas de implementación, así como a reducir las infracciones, las interrupciones y el fraude.
Predicción 4: La transparencia y la fijación de certificados de Google ayudarán a identificar el uso indebido de certificados.
¿Por qué creemos esto? El sector necesita nuevas herramientas y tecnologías que ayuden a identificar el uso indebido de certificados. El proyecto Certificate Transparency de Google es un marco abierto y público que permite basarse en sus componentes básicos o acceder a ellos para supervisar y auditar los certificados de SSL . La supervisión casi en tiempo real ayuda a detectar los certificados de SSL que han sido emitidos por error por una autoridad de certificación o adquiridos de forma malintencionada de una autoridad de certificación por lo demás intachable. También permite identificar a las autoridades de certificación que se han vuelto deshonestas y están emitiendo certificados de forma malintencionada.
Al establecer una conexión SSL , la sesión SSL comprueba que el certificado de un servidor tenga una cadena de confianza válida hasta el certificado raíz y que el nombre de host coincida con lo que se solicita; la sesión SSL no verifica que el certificado sea efectivamente el que instaló originalmente en el servidor el propietario legítimo. La fijación de certificados ofrece una solución para mejorar la verificación de la legitimidad de un certificado fijando el certificado del servidor (elimina la necesidad de validar la cadena de CA o la confianza) o fijando el certificado de CA utilizado para firmar el certificado del servidor (limita la confianza a los certificados firmados por un conjunto limitado de CA) para ayudar a minimizar la posibilidad de confiar en un certificado de una CA comprometida. Esencialmente estableciendo la opción de confiar "sólo en este certificado" o confiar "sólo en los certificados firmados por este certificado".
¿Qué significa esto para las empresas? Los CISO deben asegurarse de que sus organizaciones se mantienen al día con las iniciativas de los principales proveedores. Las principales ventajas del proyecto Certificate Transparency de Google ofrecen una mejora de la conformidad y la supervisión del sector para las CA de raíz pública y privada. La herramienta ya ha demostrado su valía al descubrir certificados no autorizados emitidos por Symantec que permiten la posibilidad de que los titulares de certificados se hagan pasar fraudulentamente por páginas web seguras de Google. Las organizaciones pueden utilizar este tipo de herramientas para llevar a cabo investigaciones y crear herramientas de supervisión que ayuden a la adhesión y supervisión del sector, así como a proteger activos críticos: datos, dispositivos, aplicaciones y personas. En cuanto a la fijación de certificados, los desarrolladores de aplicaciones móviles han empezado a adoptar el método para ayudar a reducir el riesgo de que el tráfico de terceros intercepte las conexiones.
Predicción 5: SHA-1 se explotará para crear un certificado falso "totalmente válido" a partir de uno real.
¿Por qué creemos esto? La investigación sigue ofreciendo pruebas de por qué el algoritmo de firma SHA-1 es débil y cuándo es probable que sea descifrado por una colisión hash. Las proyecciones de los costes computacionales y financieros y del tiempo necesario para descifrar SHA-1 se han reducido significativamente a lo largo de los años. Aunque el hash de diferentes mensajes debería dar lugar a hashes únicos, las colisiones reales pueden hacer que se produzca el mismo valor hash para diferentes mensajes, lo que puede aprovecharse para crear certificados falsos. En 2012, se estimaba que una colisión SHA-1 podría producirse en 2015 a un coste de 700.000 dólares. Ahora, los mismos expertos estiman que podría producirse en 2018 a un coste de sólo 173.000 dólares. Otra estimación cree que se podría lograr una colisión freestart en pocos meses utilizando potencia informática similar a la nube EC2 de Amazon con un coste de entre 75.000 y 120.000 dólares, aunque este ataque en concreto impone restricciones de formato que difícilmente se cumplirían en un certificado X.509.
¿Qué significa esto para las empresas? Tanto las grandes como las pequeñas organizaciones son vulnerables hoy en día, y reaccionar tras una brecha puede resultar costoso y alcanzar rápidamente los millones de dólares. La reparación puede ascender a millones de dólares. 173.000 dólares y/o unos meses de potencia informática están al alcance de los ciberdelincuentes. Con un coste más bajo y los crecientes avances en potencia informática y criptoanálisis, es una cuestión de "cuándo", no de "si", se producirá una colisión SHA-1. Pero no basta con hacer coincidir un hash, la verdadera magia estará en crear una "réplica exacta" de un certificado. Una vez que se demuestre que se ha creado un certificado falso "totalmente válido" a partir de uno real y que está en circulación, el sector acelerará la migración a SHA-2. CSS Research indica que el porcentaje de certificados firmados con SHA-1 supera el 51% del total de certificados publicados en Internet. Shorter señala: "Aunque todavía no hemos visto un ataque de colisión de certificados SHA-1 en la naturaleza, está claro que el algoritmo SHA-1 es extremadamente vulnerable, y cada vez más débil. Las organizaciones deberían haber terminado o estar en pleno proceso de migración a SHA-2". Este riesgo para el uso continuado de certificados SHA-1 es demasiado grande para que cualquier empresa lo ignore."
Predicción 6: Los servicios gestionados de PKI aumentarán y se adoptarán como la mejor práctica.
Por qué creemos esto? Según el Estudio de Tendencias Globales de PKI 2015 de Thales Ponemon, la mayoría de las empresas afirman que no saben -o no quieren- gestionar todas las complejidades de PKI. Shorter afirma: "Estamos viendo un aumento en el número de casos de uso de PKI que están siendo impulsados por el cumplimiento y la seguridad, aunque las empresas no saben a dónde recurrir para obtener experiencia en PKI."
¿Qué significa esto para las empresas? La PKI pasará a ser un activo básico que requiere tanto una gestión profesional como servicios especializados. Los expertos en PKI con los conocimientos específicos sobre tecnología, políticas y procesos necesarios para establecer y mantener altos niveles de confianza son escasos y muchas organizaciones no quieren (o no pueden) dotarse de ese talento específico. La falta de personal con experiencia pone en peligro la PKI y las aplicaciones, datos, dispositivos y personas que dependen de ella. Las opciones de seguridad como servicio basadas en la nube son cada vez más populares, ya que las empresas tratan de equilibrar sus necesidades, experiencia interna y presupuestos, y a menudo optan por delegar en expertos la gestión de tecnologías complejas o no esenciales.
¿Tiene dudas sobre la identidad digital?
Mientras sopesa las opciones para implementar y gestionar PKI, considere hablar con CSS. Nuestros equipos de investigación, servicios profesionales y desarrollo de CSS cuentan con expertos en el campo de la identidad digital. Durante más de una década, hemos sido asesores de seguridad de confianza para más de la mitad de Fortune 500.
